| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Medeyes A.1.3 und andereWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.04.2012, 08:49
| #1 |
 |  TR/Medeyes A.1.3 und andere Hallo Ihr Lieben Computerexperten, (nun wirds peinlich) nachdem ich nun Eure Forumsregeln gelesen habe, versuche ich alles richtig zu befolgen. Ich bin nun was meinen Computer betrifft ein mega Deletant,.... meine Computerfreunde nennen mich daher gerne die Chaos Queen.  Ich habe mir von einem Freund Antivir und einen Hama Wireless Lan Anschluss einrichten lassen. Nun hatte ich vor einem halben Jahr den Bundeskriminalamts Trojaner ....  Nachdem ich mein System neu aufgespielt habe (XP), lief alles gut . Zu Weihnachten rum hab ich dann diese Wireless Lan gecshenkt bekommen. Nun tauchen aber immer wieder Viren Meldungen Trojaner oder was auch immer auf. So schlau wie ich bin  , dachte ich mir, das liegt wohl an diesem Router der nun sehr genau alles erkennt. Die Dinger sind in der Quarantäne, ich weiß nicht wie ich sie lösche, denn wenn ich mit der rechten Maustaste auf löschen gehe, dann sagt er mir so was wie aus der Quarantäne holen ( das will ich ja nun nicht). Ich würde auch gerne diese Liste hierreinkopieren, aber auch das bekomme ich nicht hin. Es Handelt sich um TR/Zusy/917570, oder TR Rootkit Gen8, oder TR/Atraps Gen, oder TR/ Crypt Zpack Gen2, oder seit Mitte März ständig TR Medeyes Seit gestern kommt immer beim Hochfahren die Meldung des TR/Medeyes A.1.3. Dannach wird mein Internetzugung lahmgelegt. Der Mozille Bildschirm erscheint zwar aber ich komme nicht ins Internet. Ob ich nun selbst meinen Wireless Lan Anschluss rausgekickt habe, oder ob es an den Problemem liegt, weiß ich nicht, ich komme jetzte nur noch über das Kabel ins Netz. Des öfteren erscheint jetzt auch seit heute die Meldung von Antivir, dass der Zugriff auf D aus Sicherheitsgründen verweigert wird. Nun habe ich hier schon ohne registriert zu sein nach Tipps gesucht und versucht selbst zu reparieren ( wovon ihr ja abratet, dass habe ich heute aber erst gelesen). Jedenfalls habe ich mir Anti Malwarebxtes runtergeladen und gestern wurden diese Objekte gefunden : affiliate Download, Pum dissable S..., und 2mal seit gestern Pup Bundle Off. Was ist das bloß alles ?Ich hatte doch früher keine Probleme. Könnt Ihr mir helfen?? Ich weiß, ich bin sicher ein schwieriger Fall, aber es wäre trotzdem tll, wenn Ihr Nachsicht mit mir hättet. Ach ja ich hatte mir och ein OTL Programm runtergeladen von dem Ihr geschrieben habt... vielleicht hilft Euch das ja etwas:OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 02.04.2012 09:06:49 - Run 1
OTL by OldTimer - Version 3.2.39.2 Folder = C:\Dokumente und Einstellungen\danny\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1023,48 Mb Total Physical Memory | 323,41 Mb Available Physical Memory | 31,60% Memory free
2,40 Gb Paging File | 1,62 Gb Available in Paging File | 67,33% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 59,08 Gb Total Space | 39,70 Gb Free Space | 67,19% Space Free | Partition Type: NTFS
Drive D: | 79,84 Gb Total Space | 71,71 Gb Free Space | 89,81% Space Free | Partition Type: NTFS
Drive E: | 10,11 Gb Total Space | 10,11 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
Computer Name: HEIMCOMPUTER | User Name: danny | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Winamp\winamp.exe" = C:\Programme\Winamp\winamp.exe:*:Disabled:Winamp -- (Nullsoft, Inc.)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{28DA7D8B-F9A4-4F18-8AA0-551B1E084D0D}" = Hama Wireless LAN Adapter
"{2F28B3C9-2C89-4206-8B33-8ADC9577C49B}" = Scan
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{520C1D80-935C-42B9-9340-E883849D804F}_is1" = DriverTuner 3.0.1.0
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{88908767-B7AD-4b0d-ACBC-FBCCF2761D31}" = HP Photosmart All-In-One Software 9.0
"{900C2AB5-3F37-4F84-B58C-893FA5F42D7D}_is1" = WiseFixer 3.5
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AF7FC1CA-79DF-43c3-90A3-33EFEB9294CE}" = AIO_Scan
"{E28750A2-45F2-4b63-99F7-9F81A94B1E2D}" = PS_AIO_Software_min
"{E91E8912-769D-42F0-8408-0E329443BABC}" = Hama Wireless LAN Adapter
"{E9C18EBD-85BE-47D0-AA73-3FEDCC976B04}" = Toolbox
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"5513-1208-7298-9440" = JDownloader 0.9
"888casino" = 888casino
"888poker" = 888poker
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"AIDA64 Extreme Edition_is1" = AIDA64 Extreme Edition v1.80
"Avira AntiVir Desktop" = Avira Free Antivirus
"C-Media Audio" = C-Media 3D Audio
"DivX Setup" = DivX-Setup
"Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner
"Foxit Reader_is1" = Foxit Reader 5.0
"GOM Player" = GOM Player
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)
"PartyCasino" = PartyCasino
"PartyPoker" = PartyPoker
"PhotoCardMaker_is1" = PhotoCardMaker 1.0.4
"softonic" = Softonic toolbar on IE and Chrome
"Winamp" = Winamp
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 15.06.2006 00:31:21 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 14.06.2006 19:01:30 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
[ System Events ]
Error - 19.03.2012 10:04:40 | Computer Name = HEIMCOMPUTER | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
Error - 26.03.2012 04:27:34 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
Error - 26.03.2012 04:27:34 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
Error - 26.03.2012 04:31:19 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Gatewaydienst
auf Anwendungsebene.
Error - 26.03.2012 04:31:19 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Gatewaydienst auf Anwendungsebene" wurde aufgrund folgenden
Fehlers nicht gestartet: %%1053
Error - 26.03.2012 13:42:30 | Computer Name = HEIMCOMPUTER | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 26.03.2012 13:42:31 | Computer Name = HEIMCOMPUTER | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 01.04.2012 16:02:32 | Computer Name = HEIMCOMPUTER | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 02.04.2012 01:52:43 | Computer Name = HEIMCOMPUTER | Source = DCOM | ID = 10010
Description = Der Server "{601AC3DC-786A-4EB0-BF40-EE3521E70BFB}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
Error - 02.04.2012 01:53:13 | Computer Name = HEIMCOMPUTER | Source = DCOM | ID = 10010
Description = Der Server "{601AC3DC-786A-4EB0-BF40-EE3521E70BFB}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
< End of report >
Ich lasse jetzt meinen Rechner an, sonst komme ich dann womöglich nicht mehr rein.....Ich hoffe da hat sich nun keine allzugroße Sicherheitslücke breit gemacht. Zum Glück mache ich zur Zeit kein Internetbanking, aber Pay Pal, aber ich denke da kann nichts passieren, aber dennoch wäre ich froh wenn sich die Probleme bald beheben lassen und hoffe sehr auf Eure Mithilfe. LG |
|
02.04.2012, 11:18
| #2 |
| /// Malware-holic   | TR/Medeyes A.1.3 und andere hi
__________________öffne mal avira, berichte, suche die logs mit funden, ein doppelklick müsste die öffnen und dann kannst du die kopieren und einfügen. auch mal ein paar der funde unter avira, ereignisse posten. otl.txt fehlt außerdem noch, bitte nach reichen
__________________ |
|
02.04.2012, 11:55
| #3 |
| | TR/Medeyes A.1.3 und andere HuHu Danke dür die Antwort, weiß nicht genau was Du meinst .....meinst Du8 das ?? Das wäre nun einer der Berichte.
__________________Avira Free Antivirus Erstellungsdatum der Reportdatei: Montag, 2. April 2012 08:42 Es wird nach 3572891 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HEIMCOMPUTER Versionsinformationen: BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00 AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 19:36:40 AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 19:36:39 LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 19:36:41 AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 19:36:42 AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 19:36:41 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:38:19 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:39:36 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:47:31 VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 17:49:08 VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 17:49:08 VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 17:49:08 VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 17:49:08 VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 17:49:08 VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 17:49:09 VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 17:49:09 VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 17:49:09 VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 17:49:09 VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:43:48 VBASE015.VDF : 7.11.26.108 2048 Bytes 30.03.2012 17:43:48 VBASE016.VDF : 7.11.26.109 2048 Bytes 30.03.2012 17:43:48 VBASE017.VDF : 7.11.26.110 2048 Bytes 30.03.2012 17:43:48 VBASE018.VDF : 7.11.26.111 2048 Bytes 30.03.2012 17:43:49 VBASE019.VDF : 7.11.26.112 2048 Bytes 30.03.2012 17:43:49 VBASE020.VDF : 7.11.26.113 2048 Bytes 30.03.2012 17:43:49 VBASE021.VDF : 7.11.26.114 2048 Bytes 30.03.2012 17:43:50 VBASE022.VDF : 7.11.26.115 2048 Bytes 30.03.2012 17:43:50 VBASE023.VDF : 7.11.26.116 2048 Bytes 30.03.2012 17:43:50 VBASE024.VDF : 7.11.26.117 2048 Bytes 30.03.2012 17:43:52 VBASE025.VDF : 7.11.26.118 2048 Bytes 30.03.2012 17:43:52 VBASE026.VDF : 7.11.26.119 2048 Bytes 30.03.2012 17:43:52 VBASE027.VDF : 7.11.26.120 2048 Bytes 30.03.2012 17:43:52 VBASE028.VDF : 7.11.26.121 2048 Bytes 30.03.2012 17:43:52 VBASE029.VDF : 7.11.26.122 2048 Bytes 30.03.2012 17:43:52 VBASE030.VDF : 7.11.26.123 2048 Bytes 30.03.2012 17:43:52 VBASE031.VDF : 7.11.26.144 203776 Bytes 01.04.2012 17:47:33 Engineversion : 8.2.10.34 AEVDF.DLL : 8.1.2.2 106868 Bytes 15.06.2006 00:06:40 AESCRIPT.DLL : 8.1.4.15 442747 Bytes 30.03.2012 17:45:45 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:40:28 AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:34:12 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 17:45:41 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 08:38:49 AEHEUR.DLL : 8.1.4.10 4551031 Bytes 30.03.2012 17:45:23 AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 17:50:13 AEGEN.DLL : 8.1.5.23 409973 Bytes 09.03.2012 11:37:55 AEEXP.DLL : 8.1.0.27 82293 Bytes 30.03.2012 17:45:46 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 15:26:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 14:55:51 AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 14:55:48 AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 14:55:49 AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 19:36:39 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 14:55:47 SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 14:56:03 AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 14:55:50 NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 14:55:59 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 14:56:14 RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 14:56:14 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f79462f\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Montag, 2. April 2012 08:42 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'cdbxpp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\WINXP\system32\jpggorro.dll' C:\WINXP\system32\jpggorro.dll [FUND] Ist das Trojanische Pferd TR/MediyesH.A.13 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c3fea45.qua' verschoben! Ende des Suchlaufs: Montag, 2. April 2012 08:42 Benötigte Zeit: 00:05 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 38 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 37 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Welchen OTL Text meinst Du..... ach wenn ich doch nicht so ein Deletant wäre Noch einen anderen Report : Avira Free Antivirus Erstellungsdatum der Reportdatei: Samstag, 17. März 2012 04:59 Es wird nach 3567427 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HEIMCOMPUTER Versionsinformationen: BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00 AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 19:36:40 AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 19:36:39 LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 19:36:41 AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 19:36:42 AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 19:36:41 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:38:19 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:39:36 VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 21:39:36 VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 21:39:37 VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 21:39:37 VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 21:39:37 VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 21:39:37 VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 21:39:38 VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 21:39:38 VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 21:39:38 VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 21:39:39 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 21:41:10 VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 21:41:33 VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 08:11:14 VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 11:17:36 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 13:11:59 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 19:36:37 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 19:36:35 VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 09:55:50 VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 14:14:19 VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 06:47:55 VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 11:37:52 VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 11:37:48 VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 13:02:42 VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 16:54:30 VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 16:54:30 VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 16:54:30 VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 16:54:30 VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 16:54:30 VBASE031.VDF : 7.11.25.136 44032 Bytes 16.03.2012 16:54:30 Engineversion : 8.2.10.22 AEVDF.DLL : 8.1.2.2 106868 Bytes 15.06.2006 00:06:40 AESCRIPT.DLL : 8.1.4.10 455035 Bytes 15.03.2012 15:26:34 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:40:28 AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:34:12 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.5 803190 Bytes 09.03.2012 11:38:26 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 08:38:49 AEHEUR.DLL : 8.1.4.6 4497781 Bytes 15.03.2012 15:26:33 AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 17:50:13 AEGEN.DLL : 8.1.5.23 409973 Bytes 09.03.2012 11:37:55 AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 15:26:34 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 15:26:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 14:55:51 AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 14:55:48 AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 14:55:49 AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 19:36:39 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 14:55:47 SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 14:56:03 AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 14:55:50 NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 14:55:59 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 14:56:14 RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 14:56:14 Konfiguration für den aktuellen Suchlauf: Job Name..............................: AVGuardAsyncScan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f637021\guard_slideup.avp Protokollierung.......................: standard Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: vollständig Beginn des Suchlaufs: Samstag, 17. März 2012 04:59 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP113\A0035806.sys' C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP113\A0035806.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen8 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4df1acc5.qua' verschoben! Ende des Suchlaufs: Samstag, 17. März 2012 04:59 Benötigte Zeit: 00:05 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 36 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 35 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Avira Free Antivirus Erstellungsdatum der Reportdatei: Freitag, 23. März 2012 22:57 Es wird nach 3590852 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HEIMCOMPUTER Versionsinformationen: BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00 AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 19:36:40 AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 19:36:39 LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 19:36:41 AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 19:36:42 AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 19:36:41 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:38:19 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:39:36 VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 21:39:36 VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 21:39:37 VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 21:39:37 VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 21:39:37 VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 21:39:37 VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 21:39:38 VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 21:39:38 VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 21:39:38 VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 21:39:39 VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 21:41:10 VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 21:41:33 VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 08:11:14 VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 11:17:36 VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 13:11:59 VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 19:36:37 VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 19:36:35 VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 09:55:50 VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 14:14:19 VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 06:47:55 VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 11:37:52 VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 11:37:48 VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 13:02:42 VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 16:54:30 VBASE027.VDF : 7.11.25.177 202752 Bytes 20.03.2012 17:11:03 VBASE028.VDF : 7.11.25.233 169984 Bytes 23.03.2012 17:18:10 VBASE029.VDF : 7.11.25.234 2048 Bytes 23.03.2012 17:18:10 VBASE030.VDF : 7.11.25.235 2048 Bytes 23.03.2012 17:18:11 VBASE031.VDF : 7.11.25.240 21504 Bytes 23.03.2012 17:18:12 Engineversion : 8.2.10.28 AEVDF.DLL : 8.1.2.2 106868 Bytes 15.06.2006 00:06:40 AESCRIPT.DLL : 8.1.4.13 442746 Bytes 23.03.2012 17:19:00 AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:40:28 AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:34:12 AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06 AEPACK.DLL : 8.2.16.7 803190 Bytes 23.03.2012 17:18:55 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 08:38:49 AEHEUR.DLL : 8.1.4.8 4514165 Bytes 23.03.2012 17:18:49 AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 17:50:13 AEGEN.DLL : 8.1.5.23 409973 Bytes 09.03.2012 11:37:55 AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 15:26:34 AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01 AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 15:26:27 AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01 AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 14:55:51 AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 14:55:48 AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 14:55:49 AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 19:36:39 AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 14:55:47 SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 14:56:03 AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 14:55:50 NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 14:55:59 RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 14:56:14 RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 14:56:14 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Freitag, 23. März 2012 22:57 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Eine Instanz der ARK Library läuft bereits. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'RaUI.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'raid_tool.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '56' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\WINXP\system32\ntqdmvnv.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen Die Registry wurde durchsucht ( '367' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <System> C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\358d5076-417c6e2d [0] Archivtyp: ZIP --> apps/MyWorker.class [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP102\A0032324.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034469.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034471.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.10 C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034492.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034501.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.20 C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034605.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034608.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.20 C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP114\A0035861.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\A0035864.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\snapshot\MFEX-1.DAT [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP118\A0036028.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP28\A0010301.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.36 C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP49\A0012769.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP53\A0013018.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP54\A0013085.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.36 C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0024834.sys [FUND] Ist das Trojanische Pferd TR/Zusy.917570 C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0025822.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.47 C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP98\A0032214.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen C:\WINXP\system32\ntqdmvnv.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen Beginne mit der Suche in 'D:\' <Daten> Beginne mit der Suche in 'E:\' <BACKUP> Beginne mit der Desinfektion: C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP98\A0032214.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca98d72.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0025822.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.47 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '543ea2d7.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0024834.sys [FUND] Ist das Trojanische Pferd TR/Zusy.917570 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0661f83f.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP54\A0013085.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.36 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6056b7fa.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP53\A0013018.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '25d29ac4.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP49\A0012769.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ac9a8a4.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP28\A0010301.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.36 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '167184ee.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP118\A0036028.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden! [WARNUNG] Eine Exception wurde abgefangen! [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. [HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet. C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\snapshot\MFEX-1.DAT [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6a46c4d6.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\A0035864.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4733ebf1.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP114\A0035861.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e5bd014.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034608.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.20 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3207fc24.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034605.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43bec5b0.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034501.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.20 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4da4f574.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034492.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '088d8c36.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034471.dll [FUND] Ist das Trojanische Pferd TR/Mediyes.B.10 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0186889c.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034469.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59c791f2.qua' verschoben! C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP102\A0032324.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7533e83e.qua' verschoben! C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\358d5076-417c6e2d [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf588ea.qua' verschoben! Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqdmvnv> wurde erfolgreich entfernt. Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqdmvnv> wurde erfolgreich entfernt. C:\WINXP\system32\ntqdmvnv.sys [FUND] Ist das Trojanische Pferd TR/Rootkit.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2880a35c.qua' verschoben! [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqdmvnv\ImagePath> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqdmvnv\ImagePath> wurde erfolgreich repariert. [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqdmvnv\ImagePath> wurde erfolgreich repariert. Ende des Suchlaufs: Samstag, 24. März 2012 02:54 Benötigte Zeit: 1:30:46 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7680 Verzeichnisse wurden überprüft 381328 Dateien wurden geprüft 21 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 19 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 381307 Dateien ohne Befall 3164 Archive wurden durchsucht 1 Warnungen 20 Hinweise Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben. Ich habe noch mal OTL scan gestartet..... weil ich nicht weiß welchen Text Du meinst? Eben kam von Avira wieder die Meldung Autorun blockiert (aus Sicherheitsgründen). OTL Logfile: Code:
ATTFilter OTL logfile created on: 02.04.2012 13:00:37 - Run 1 OTL by OldTimer - Version 3.2.39.2 Folder = C:\Dokumente und Einstellungen\danny\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023,48 Mb Total Physical Memory | 313,49 Mb Available Physical Memory | 30,63% Memory free 2,40 Gb Paging File | 1,63 Gb Available in Paging File | 67,85% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme Drive C: | 59,08 Gb Total Space | 39,69 Gb Free Space | 67,18% Space Free | Partition Type: NTFS Drive D: | 79,84 Gb Total Space | 71,71 Gb Free Space | 89,81% Space Free | Partition Type: NTFS Drive E: | 10,11 Gb Total Space | 10,11 Gb Free Space | 99,98% Space Free | Partition Type: FAT32 Drive J: | 557,68 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Computer Name: HEIMCOMPUTER | User Name: danny | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\danny\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - C:\Programme\CDBurnerXP\cdbxpp.exe (Canneverbe Limited) PRC - C:\WINXP\soundman.exe (Realtek Semiconductor Corp.) PRC - C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe () PRC - C:\WINXP\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Hama\Common\RaUI.exe (Hama GmbH & Co KG) PRC - C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies) ========== Modules (No Company Name) ========== MOD - C:\Programme\Mozilla Firefox\mozjs.dll () MOD - C:\WINXP\system32\Macromed\Flash\NPSWF32.dll () MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll () MOD - C:\Programme\DivX\DivX Update\DivXUpdate.exe () MOD - C:\Programme\CDBurnerXP\NMSAccessU.exe () MOD - C:\Programme\Hama\Common\acAuth.dll () MOD - C:\Programme\VIA\RAID\drvInterface.dll () MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\1031\NSEXTINT.DLL () ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found SRV - (lanmanworkstation) -- C:\WINXP\system32\aptwujpgi.dll (Works Ltd.) SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (Update-Service) -- C:\WINXP\system32\UpdSvc.dll (Joosoft.com GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe () SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (MBAMSwissArmy) -- C:\WINXP\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH) DRV - (MBAMProtector) -- C:\WINXP\system32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (avkmgr) -- C:\WINXP\system32\drivers\avkmgr.sys (Avira GmbH) DRV - (AIDA64Driver) -- C:\Programme\FinalWire\AIDA64 Extreme Edition\kerneld.x32 () DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys () DRV - (ntqdmvnv) -- C:\WINXP\system32\ntqdmvnv.sys (New Technology Quality, Ltd.) DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (RT73) -- C:\WINXP\system32\drivers\rt73.sys (Ralink Technology, Corp.) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINXP\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B6 DC 6E 33 D4 04 CD 01 [binary data] IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..network.proxy.type: 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.03.10 20:35:49 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.14 14:16:46 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.08 01:15:55 | 000,000,000 | ---D | M] [2006.06.15 01:58:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Extensions [2012.02.09 09:21:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\extensions [2012.02.09 09:21:24 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\extensions\ffxtlbra@softonic.com [2011.12.19 14:42:11 | 000,000,933 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\11-suche.xml [2011.12.19 14:42:11 | 000,002,419 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\englische-ergebnisse.xml [2011.12.19 14:42:11 | 000,010,525 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\gmx-suche.xml [2011.12.19 14:42:11 | 000,002,457 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\lastminute.xml [2011.12.19 14:42:11 | 000,005,508 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\webde-suche.xml [2011.12.27 20:31:25 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EFGEA3V3.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2006.06.15 09:35:04 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.03.14 14:16:46 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.10.26 20:49:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll [2011.12.21 07:08:50 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.12.21 07:02:40 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.12.21 07:08:50 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.12.21 07:08:50 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.12.21 07:08:50 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.12.21 07:08:50 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 11:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O2 - BHO: (Softonic Helper Object) - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Programme\Softonic\softonic\1.5.11.5\bh\softonic.dll (Softonic.com) O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Programme\Softonic\softonic\1.5.11.5\softonicTlbr.dll (Softonic.com) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies) O4 - HKLM..\Run: [SoundMan] C:\WINXP\soundman.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe (Hama GmbH & Co KG) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Dokumente und Einstellungen\danny\Desktop\PartyCasino.lnk () O9 - Extra 'Tools' menuitem : PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Dokumente und Einstellungen\danny\Desktop\PartyCasino.lnk () O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\danny\Desktop\PartyPoker.lnk () O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\danny\Desktop\PartyPoker.lnk () O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{136F032D-3D9E-46A5-A4E0-0FED15201654}: NameServer = 62.109.123.6 213.191.92.87 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.06.15 01:29:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - Unable to obtain root file information for disk D:\ O32 - AutoRun File - [2012.04.02 08:38:16 | 000,000,000 | ---- | M] () - E:\AUTORUN.INF -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2012.04.02 08:35:53 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys [2012.04.02 08:34:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Desktop\Neuer Ordner (2) [2012.04.01 21:48:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Malwarebytes [2012.04.01 21:48:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.04.01 21:48:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.04.01 21:48:16 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys [2012.04.01 21:48:16 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.03.17 11:38:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Startmenü\Programme\888casino [2012.03.17 11:38:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\CasinoOnNet [2012.03.17 11:38:36 | 000,000,000 | ---D | C] -- C:\Programme\CasinoOnNet [2012.03.16 21:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Desktop\Neuer Ordner [2012.03.10 20:37:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\DDMSettings [2012.03.10 20:35:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\DivX [2012.03.10 20:35:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX Plus [2012.03.10 20:34:46 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DivX Shared [2012.03.10 20:33:07 | 000,000,000 | ---D | C] -- C:\Programme\DivX [2012.03.10 20:32:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.04.02 08:55:12 | 000,000,536 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\12.lnk [2012.04.02 08:42:11 | 000,000,283 | ---- | M] () -- C:\user.js [2012.04.02 08:35:53 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys [2012.04.02 08:25:48 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl [2012.04.02 08:24:43 | 1073,270,784 | -HS- | M] () -- C:\hiberfil.sys [2012.04.02 08:24:43 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat [2012.04.01 21:48:21 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.03.29 17:16:29 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.03.25 18:07:55 | 000,416,034 | ---- | M] () -- C:\WINXP\System32\perfh007.dat [2012.03.25 18:07:55 | 000,405,012 | ---- | M] () -- C:\WINXP\System32\perfh009.dat [2012.03.25 18:07:55 | 000,066,180 | ---- | M] () -- C:\WINXP\System32\perfc007.dat [2012.03.25 18:07:55 | 000,054,356 | ---- | M] () -- C:\WINXP\System32\perfc009.dat [2012.03.23 09:55:11 | 000,221,184 | ---- | M] (Works Ltd.) -- C:\WINXP\System32\aptwujpgi.dll [2012.03.17 11:38:58 | 000,001,697 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Application Data\Microsoft\Internet Explorer\Quick Launch\888casino.lnk [2012.03.17 11:38:58 | 000,001,679 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Desktop\888casino.lnk [2012.03.15 04:19:58 | 000,114,968 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT [2012.03.15 04:01:03 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK [2012.03.10 20:35:54 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Converter.lnk [2012.03.10 20:35:54 | 000,001,490 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Desktop\DivX Movies.lnk [2012.03.10 20:35:35 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk [1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.04.02 08:55:11 | 000,000,536 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\12.lnk [2012.04.01 21:48:21 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.03.17 11:38:58 | 000,001,697 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Application Data\Microsoft\Internet Explorer\Quick Launch\888casino.lnk [2012.03.17 11:38:58 | 000,001,679 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Desktop\888casino.lnk [2012.03.10 20:35:54 | 000,001,490 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Desktop\DivX Movies.lnk [2012.03.10 20:35:35 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk [2012.03.10 20:35:11 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Converter.lnk [2012.02.25 14:49:50 | 000,005,504 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys [2012.02.16 21:32:18 | 000,003,072 | ---- | C] () -- C:\WINXP\System32\iacenc.dll [2012.02.07 12:11:12 | 000,130,771 | ---- | C] () -- C:\WINXP\hpoins15.dat [2012.02.07 12:11:11 | 000,001,037 | ---- | C] () -- C:\WINXP\hpomdl15.dat [2011.12.30 20:24:18 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.12.27 20:28:47 | 000,002,048 | ---- | C] () -- C:\WINXP\System32\rt73.bin [2011.12.27 20:16:18 | 000,311,296 | ---- | C] () -- C:\WINXP\System32\AegisI5.exe [2011.12.27 20:16:18 | 000,290,918 | ---- | C] () -- C:\WINXP\System32\Install7x.dll [2011.12.27 20:16:18 | 000,002,048 | ---- | C] () -- C:\WINXP\System32\drivers\rt73.bin [2011.12.08 16:23:45 | 000,000,092 | ---- | C] () -- C:\WINXP\CMISETUP.INI [2011.12.08 16:23:44 | 000,000,026 | ---- | C] () -- C:\WINXP\CMCDPLAY.INI [2011.12.08 16:23:43 | 000,233,472 | ---- | C] () -- C:\WINXP\System32\cmirmdrv.exe [2011.12.08 16:23:43 | 000,028,672 | ---- | C] () -- C:\WINXP\System32\cmirmdrv.dll [2011.12.08 16:23:43 | 000,000,000 | ---- | C] () -- C:\WINXP\Wininit.ini [2011.12.08 16:23:41 | 000,266,240 | ---- | C] () -- C:\WINXP\CMIUninstall.exe [2011.12.08 16:23:41 | 000,225,280 | ---- | C] () -- C:\WINXP\CmiRmRedundDir.exe [2011.12.08 16:23:41 | 000,028,672 | ---- | C] () -- C:\WINXP\CMIRmDriver.dll [2011.12.07 22:28:17 | 000,040,960 | ---- | C] () -- C:\WINXP\System32\ChCfg.exe [2011.10.18 05:17:55 | 000,135,168 | ---- | C] () -- C:\WINXP\System32\RTLCPAPI.dll ========== LOP Check ========== [2012.02.25 14:50:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2011.12.07 21:45:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1} [2012.02.25 14:50:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Canneverbe Limited [2012.03.17 11:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\CasinoOnNet [2012.03.10 20:37:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\DDMSettings [2011.12.16 19:20:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Foxit Software [2011.12.08 01:15:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\OpenCandy [2012.02.17 21:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\PacificPoker [2012.02.09 09:21:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Softonic ========== Purity Check ========== < End of report > LG Dani und sorry für die Mühe, toll, dass es Euch gibt !! |
|
02.04.2012, 16:55
| #4 |
| /// Malware-holic | TR/Medeyes A.1.3 und andere hi dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL
SRV - (lanmanworkstation) -- C:\WINXP\system32\aptwujpgi.dll (Works Ltd.)
:Files
C:\WINXP\system32\aptwujpgi.dll
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]
• Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die  + E Taste.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
02.04.2012, 19:21
| #5 |
| | TR/Medeyes A.1.3 und andere Hmhhh, wie lange dauert das ganze denn?? Habe den Text kopiert und dann stand unten killling processes.... Do not interrupted..... was ich dann aber nach 1,5 Stunden unterbrochen habe. Es sieht so aus als würde sich der rechner aufhängen, die Desktop Icons verschwinden. Außerdem hatte ich gerade eine Meldung von mailwarebytes: MBAM Service terminated unexpektedly, see event log für details...... |
|
02.04.2012, 19:38
| #6 |
| /// Malware-holic | TR/Medeyes A.1.3 und andere starte mal in den abgesicherten modus, geht über f8 beim neustart. wähle dort dein nutzerkonto und versuchs noch mal
__________________ --> TR/Medeyes A.1.3 und andere |
|
02.04.2012, 21:05
| #7 |
| | TR/Medeyes A.1.3 und andere All processes killed ========== OTL ========== Service lanmanworkstation stopped successfully! Service lanmanworkstation deleted successfully! C:\WINXP\system32\aptwujpgi.dll moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: danny ->Flash cache emptied: 29213 bytes User: Default User User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: danny ->Temp folder emptied: 12336480702 bytes ->Temporary Internet Files folder emptied: 95602641 bytes ->Java cache emptied: 2092947 bytes ->FireFox cache emptied: 55224225 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 42244270 bytes RecycleBin emptied: 164864 bytes Total Files Cleaned = 11.951,00 mb Error: Unable to interpret < :OTL> in the current context! Error: Unable to interpret <SRV - (lanmanworkstation) -- C:\WINXP\system32\aptwujpgi.dll (Works Ltd.)> in the current context! Error: Unable to interpret < :Files> in the current context! Error: Unable to interpret <C:\WINXP\system32\aptwujpgi.dll> in the current context! ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: danny ->Flash cache emptied: 0 bytes User: Default User User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: danny ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.39.2 log created on 04022012_215911 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Also bis jetzt hat alles geklappt und Du bist mein persönlicher Held des Tages (mindestens), wobei ich ja noch nicht weiß, was da ja jetzt alles passiert ist..... und wie ich sowas nun vermeiden kann. Ob nun noch alle Fehler und Trojaner noch da sind usw. Fragen über Fragen von einer völlig überforderten Userin. Vielen Dank schon mal für die super schnelle Hilfe und die Zeit die geopfert wird, echt klasse  |
|
03.04.2012, 10:30
| #8 | |
| /// Malware-holic | TR/Medeyes A.1.3 und andere hi, danke dir erst mal für den upload. 2. funktioniert das internet wieder? 3. Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
03.04.2012, 14:57
| #9 |
| | TR/Medeyes A.1.3 und andere Huhu, vielen Dank Dir! Einen Neustart gab es nicht, ich komme jederzeit ins Internet, aber heute kam wieder die Tr Medeyes Meldung von Anti Vir.. hier der Text: Combofix Logfile: Code:
ATTFilter ComboFix 12-04-02.01 - danny 03.04.2012 15:47:02.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.444 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\danny\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\danny\WINDOWS
c:\winxp\system32\AutoRun.inf
D:\AUTORUN.INF
E:\Autorun.inf
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-03-03 bis 2012-04-03 ))))))))))))))))))))))))))))))
.
.
2012-04-02 16:38 . 2012-04-02 20:08 -------- d-----w- C:\_OTL
2012-04-01 19:48 . 2012-04-01 19:48 -------- d-----w- c:\dokumente und einstellungen\danny\Anwendungsdaten\Malwarebytes
2012-04-01 19:48 . 2012-04-01 19:48 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-04-01 19:48 . 2012-04-01 19:48 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2012-04-01 19:48 . 2011-12-10 13:24 20464 ----a-w- c:\winxp\system32\drivers\mbam.sys
2012-03-17 09:38 . 2012-03-17 09:51 -------- d-----w- c:\dokumente und einstellungen\danny\Anwendungsdaten\CasinoOnNet
2012-03-17 09:38 . 2012-03-17 09:38 -------- d-----w- c:\programme\CasinoOnNet
2012-03-14 12:16 . 2012-03-14 12:16 592824 ----a-w- c:\programme\Mozilla Firefox\gkmedias.dll
2012-03-14 12:16 . 2012-03-14 12:16 44472 ----a-w- c:\programme\Mozilla Firefox\mozglue.dll
2012-03-10 18:37 . 2012-03-10 18:37 -------- d-----w- c:\dokumente und einstellungen\danny\Anwendungsdaten\DDMSettings
2012-03-10 18:35 . 2012-03-29 15:14 -------- d-----w- c:\dokumente und einstellungen\danny\Anwendungsdaten\DivX
2012-03-10 18:34 . 2012-03-10 18:35 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2012-03-10 18:33 . 2012-03-10 18:35 -------- d-----w- c:\programme\DivX
2012-03-10 18:32 . 2012-03-10 18:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-02 06:57 . 2009-02-09 07:54 464384 ----a-w- c:\winxp\system32\ntqdmvnv.sys
2012-02-27 09:46 . 2006-06-15 07:20 414368 ----a-w- c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-02-15 19:36 . 2006-06-15 00:05 137416 ----a-w- c:\winxp\system32\drivers\avipbb.sys
2012-02-03 09:56 . 2009-11-10 15:46 1869312 ----a-w- c:\winxp\system32\win32k.sys
2012-01-11 19:06 . 2012-02-16 19:32 3072 ------w- c:\winxp\system32\iacenc.dll
2012-01-09 16:20 . 2006-06-14 23:24 139784 ----a-w- c:\winxp\system32\drivers\rdpwd.sys
2012-03-14 12:16 . 2011-12-27 18:31 97208 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E87806B5-E908-45FD-AF5E-957D83E58E68}]
2012-01-11 14:29 241872 ----a-w- c:\programme\Softonic\softonic\1.5.11.5\bh\softonic.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5018CFD2-804D-4C99-9F81-25EAEA2769DE}"= "c:\programme\Softonic\softonic\1.5.11.5\softonicTlbr.dll" [2012-01-11 250064]
.
[HKEY_CLASSES_ROOT\clsid\{5018cfd2-804d-4c99-9f81-25eaea2769de}]
[HKEY_CLASSES_ROOT\Softonic.dskBnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKEY_CLASSES_ROOT\Softonic.dskBnd]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"SoundMan"="SOUNDMAN.EXE" [2011-12-07 577536]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2011-10-26 74752]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-06-20 1056768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2011-12-27 1122304]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
.
R1 avkmgr;avkmgr;c:\winxp\system32\drivers\avkmgr.sys [15.06.2006 02:05 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.06.2006 02:05 86224]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [01.04.2012 21:48 652360]
R2 Update-Service;Update-Service;c:\winxp\System32\svchost.exe -k Update-Service [14.04.2008 11:00 14336]
R3 MBAMProtector;MBAMProtector;c:\winxp\system32\drivers\mbam.sys [01.04.2012 21:48 20464]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\winxp\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]
S3 AIDA64Driver;FinalWire AIDA64 Kernel Driver;c:\programme\FinalWire\AIDA64 Extreme Edition\kerneld.x32 [08.12.2011 16:21 28824]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\winxp\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - ntqdmvnv
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Update-Service-Installer-Service REG_MULTI_SZ Update-Service-Installer-Service
Update-Service REG_MULTI_SZ Update-Service
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\dokumente und einstellungen\danny\Desktop\PartyCasino.lnk
TCP: Interfaces\{136F032D-3D9E-46A5-A4E0-0FED15201654}: NameServer = 213.191.92.86 62.109.123.7
FF - ProfilePath - c:\dokumente und einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.softonic_i.newTab - false
FF - user.js: extensions.softonic_i.tlbrSrchUrl - hxxp://search.softonic.com/MON00001/tb_v1?SearchSource=1&cc=&q=
FF - user.js: extensions.softonic_i.id - 502b9240000000000000001060310b14
FF - user.js: extensions.softonic_i.instlDay - 15432
FF - user.js: extensions.softonic_i.vrsn - 1.5.11.5
FF - user.js: extensions.softonic_i.vrsni - 1.5.11.5
FF - user.js: extensions.softonic_i.vrsnTs - 1.5.11.58:42
FF - user.js: extensions.softonic_i.prtnrId - softonic
FF - user.js: extensions.softonic_i.prdct - softonic
FF - user.js: extensions.softonic_i.aflt - orgnl
FF - user.js: extensions.softonic_i.smplGrp - eng7
FF - user.js: extensions.softonic_i.tlbrId - eng7
FF - user.js: extensions.softonic_i.instlRef - MON00001
FF - user.js: extensions.softonic_i.dfltLng -
FF - user.js: extensions.softonic_i.excTlbr - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-03 15:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RaidTool = c:\programme\VIA\RAID\raid_tool.exe????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AIDA64Driver]
"ImagePath"="\??\c:\programme\FinalWire\AIDA64 Extreme Edition\kerneld.x32"
.
Zeit der Fertigstellung: 2012-04-03 15:53:45
ComboFix-quarantined-files.txt 2012-04-03 13:53
.
Vor Suchlauf: 5 Verzeichnis(se), 49.059.143.680 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 49.049.874.432 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F3413415E66A15F26AFA36E3CEDBE9D2
|
|
03.04.2012, 18:51
| #10 |
| /// Malware-holic | TR/Medeyes A.1.3 und andere hi dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. [CODE] :OTL DRV - (ntqdmvnv) -- C:\WINXP\system32\ntqdmvnv.sys (New Technology Quality, Ltd.) :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
05.04.2012, 08:01
| #11 |
| | TR/Medeyes A.1.3 und andere All processes killed Error: Unable to interpret <[CODE]> in the current context! ========== OTL ========== Error: No service named ntqdmvnv was found to stop! Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqdmvnv deleted successfully. File C:\WINXP\system32\ntqdmvnv.sys not found. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: danny ->Flash cache emptied: 2102 bytes User: Default User User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: All Users User: danny ->Temp folder emptied: 592407429 bytes ->Temporary Internet Files folder emptied: 3707902 bytes ->Java cache emptied: 11548 bytes ->FireFox cache emptied: 132031198 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 16867 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 694,00 mb OTL by OldTimer - Version 3.2.39.2 log created on 04052012_085740 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
05.04.2012, 11:53
| #12 |
| /// Malware-holic | TR/Medeyes A.1.3 und andere sind aktuell probleme festzustellen? wenn ja, welche?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
10.04.2012, 11:53
| #13 |
| | TR/Medeyes A.1.3 und andere Momentan habe ich keine Probleme mehr. Vielen lieben Dank .... LG Dani |
|
11.04.2012, 16:06
| #14 |
| /// Malware-holic | TR/Medeyes A.1.3 und andere lade den CCleaner standard: CCleaner Download - CCleaner 3.17.1689 falls der CCleaner bereits instaliert, überspringen. instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen. hinter, jedes von dir benötigte programm, schreibe notwendig. hinter, jedes, von dir nicht benötigte, unnötig. hinter, dir unbekannte, unbekannt. liste posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu TR/Medeyes A.1.3 und andere |
| 0xc0000001, 32 bit, antivir, avira, bildschirm, crypt zpack, desktop, error, fehler, flash player, format, jdownloader, logfile, maus, mozilla, nicht möglich, pay pal, programm, realtek, registry, registry cleaner, rootkit, rundll, scan, security, server, softonic, software, system, system neu, tcp, trojaner, udp, viren |
Linear-Darstellung
